Bash漏洞安全加固-創(chuàng)新互聯(lián)

Bash漏洞加固方案

堅(jiān)守“ 做人真誠 · 做事靠譜 · 口碑至上 · 高效敬業(yè) ”的價值觀，專業(yè)網(wǎng)站建設(shè)服務(wù)10余年為成都三維植被網(wǎng)小微創(chuàng)業(yè)公司專業(yè)提供成都定制網(wǎng)站營銷網(wǎng)站建設(shè)商城網(wǎng)站建設(shè)手機(jī)網(wǎng)站建設(shè)小程序網(wǎng)站建設(shè)網(wǎng)站改版，從內(nèi)容策劃、視覺設(shè)計(jì)、底層架構(gòu)、網(wǎng)頁布局、功能開發(fā)迭代于一體的高端網(wǎng)站建設(shè)服務(wù)。

1 漏洞描述

前段時間做安全加固，使用的是綠盟的BVS掃描主機(jī)，根據(jù)掃描出的報(bào)告顯示，存在兩種Bash漏洞，分別為：

①GNU Bash 環(huán)境變量遠(yuǎn)程命令執(zhí)行漏洞(CVE-2014-6271)

GNU Bash 4.3及之前版本在評估某些構(gòu)造的環(huán)境變量時存在安全漏洞，向環(huán)境變量值內(nèi)的函數(shù)定義后添加多余的字符串會觸發(fā)此漏洞，***者可利用此漏洞改變或繞過環(huán)境限制，以執(zhí)行shell命令。

②GNU BashCVE-2014-6271不完整修復(fù)遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2014-7169)

   受影響系統(tǒng)：GNU Bash <=4.3 bash53-026

GNU Bash 4.3 bash53-026及之前版本處理環(huán)境變量值內(nèi)某些畸形函數(shù)定義后尾隨的字符串時存在安全漏洞，遠(yuǎn)程***者通過構(gòu)造的環(huán)境，利用此漏洞可覆蓋文件、執(zhí)行任意代碼、導(dǎo)致其他影響。此漏洞源于CVE-2014-6271的不完整修復(fù)，函數(shù)解析仍然存在問題。

2 漏洞測試

自己搭建環(huán)境先進(jìn)行測試。

①查看系統(tǒng)版本：

[root@jiagu06 ~]# lsb_release version –a

 

②查看bash版本：

[root@jiagu06 ~]# bash --version

③測試語句：

[root@jiagu06 ~]# env x='() { :;}; echovulnerable' bash -c "echo this is a test"

返回“vulnerable this is a test”，說明存在GNU Bash 環(huán)境變量遠(yuǎn)程命令執(zhí)行漏洞(CVE-2014-6271)。

3 漏洞加固

①上傳相應(yīng)補(bǔ)丁至文件至目錄/usr/local/src：

bash-3.2-33.el5_10.4.x86_64

bash-debuginfo-3.2-33.el5_11.4.x86_64

請注意下載適合實(shí)際環(huán)境的bash補(bǔ)丁，由操作系統(tǒng)版本和bash版本決定（本文環(huán)境為RedHat64bit && bash4.2）

②安裝rpm補(bǔ)丁包：

[root@ localhost src]# rpm -Uvhbash-3.2-33.el5_10.4.x86_64.rpm

[root@localhost src]# rpm -Uvhbash-debuginfo-3.2-33.el5_11.4.x86_64.rpm

③檢驗(yàn)已加固

[root@localhost src]# env x='() { :;}; echovulnerable' bash -c "echo this is a test"

只顯示this is a test ，則補(bǔ)丁安裝成功。

4 說明

本來是打算上傳bash補(bǔ)丁的，沒想到是非法的上傳導(dǎo)致上傳失敗。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

新聞名稱：Bash漏洞安全加固-創(chuàng)新互聯(lián)
文章來源：http://m.jiaotiyi.com/article/ejeps.html